Log4j Java kutubxonasidagi mashhur zaiflikning ta'siri uzoq davom etmoqda. Eng katta muammo shoshilinch yamoq 2.16 bilan hal qilingan bo'lsa-da, bu versiya ham suiiste'molga moyil bo'lib ko'rinadi. Xavfsizlik bo'yicha tadqiqotchilar Xizmatni rad etish (DoS) hujumlari uchun kirish joyini topdilar. Log4j 2.17 yozuvni yopish uchun chop etildi.
Java kutubxonasini ishlab chiquvchi Apache tashkilotlarga favqulodda yamoqni qo'llashni maslahat beradi. Ushbu maslahat kutubxona zaif deb topilganidan beri uchinchi marta amal qiladi.
Bir yarim hafta oldin, Alibaba'dan xavfsizlik bo'yicha tadqiqotchilar cloud xavfsizlik guruhi Log4j bilan ilovalarni suiiste'mol qilish usulini aniqladi. Log4j ilovalarda hodisalarni qayd qilish uchun ishlatiladi. Zararli dasturlarni ishga tushirish bo'yicha ko'rsatmalarga ega bo'lgan ilovalarga tashqaridan kutubxona bilan kirish mumkin bo'ldi. Suiiste'mol qilish bir zumda ko'proq vaqt talab etadi. Aksariyat korporativ muhitda kutubxonaning taxminiy paydo bo'lishini qo'shing va siz global IT landshaftiga duch keladigan ofat ko'lamini tushunasiz.
Fortinet, Cisco, IBM va boshqa o'nlab dasturiy ta'minot ishlab chiqaruvchilari o'z dasturlarida kutubxonadan foydalanadilar. Ularning ishlab chiquvchilari 11-dekabr dam olish kunlarida zaiflik uchun birinchi favqulodda yamoqni qayta ishlash va uni foydalanuvchi tashkilotlariga yetkazib berish uchun ortiqcha ishlagan. Aynan shu drift ushbu tashkilotlardagi IT-guruhlardan kutilgan edi. Dunyo bo'ylab yuz minglab hujumga urinishlar bo'lib o'tdi. Har bir inson imkon qadar tezroq 2.15 ga o'tishi kerak edi - 2.15 ga qadar ham zaif deb topildi.
Kutubxonaning ma'lum konfiguratsiyasi 2.15 versiyasida mumkin bo'lib qoldi. Ushbu konfiguratsiyalardan foydalanish zaiflikni davom ettirdi. 2.16-versiya konfiguratsiyalarni imkonsiz qildi, bu esa yangi yamoqni kafolatladi. Ko'pincha allaqachon haddan tashqari ishlagan IT-guruhlarini xafa qiladi. Biroq, har doim ham yomonroq bo'lishi mumkin, chunki 2.16 ham kasallikka ega.
Boshlash uchun
Muammoga global e'tibor butun dunyo bo'ylab keng ko'lamli tadqiqotlarni keltirib chiqardi. Kutubxonani ishlab chiquvchi Apache, xavfsizlik kompaniyasi yangi, dolzarb muammoni ko'rsatmasdan turib, ikki kun davomida nafas ololmayapti.
Muxtasar qilib aytganda, log4j ning o'nlab versiyalarini, shu jumladan 2.16 ni, dasturni buzadigan abadiy tsiklni boshlash uchun bir qator (string) bilan ishga tushirish mumkinligi ma'lum bo'ldi. Atrof-muhit suiiste'mol qilinishi uchun javob berishi kerak bo'lgan shartlar juda keng. Shu qadar keng tarqalganki, muammoning amaliy jiddiyligi bahsli. Yamoq rasman tavsiya etiladi, ammo hamma ham bunga ishonmaydi.
Shunga qaramay, Log4j ning har bir nusxasi zaif emas, faqat kutubxona maxsus sozlamalarda ishlayotgan holatlar. Potentsial tajovuzkor Log4j qanday ishlashi haqida batafsil ma'lumotga muhtoj. Dastlabki, oson kirish mumkin bo'lgan zaiflikdan farqli o'laroq.